Ve čtvrtek (4. února 2021) neznámý subjekt údajně ukradl 2,8 milionu dolarů ze sdíleného digitálního nebo online trezoru prostřednictvím investiční platformy Touha po financích. Hackeři využili trezor pomocí Aave, platformy decentralizovaného financování (DeFi), která umožňuje investorům poskytovat okamžité půjčky. Tato řešení DeFi fungují hlavně tak, že poskytují rychlé výpůjčky a splácení peněz bez nutnosti skládání kolaterálu.

Tým společnosti Yearn.Finance vydal podrobnou zprávu o porážce týkající se nedávného zneužití. Tether Ltd, největší světový emitent stabilcoinů, zmrazil také 1,7 milionu USD v USDT, které se údajně podílely na tomto narušení bezpečnosti, Tether CTO Paolo Ardoino potvrzeno.

Tým Yearn.Finance nejprve potvrdil, že utrpěl explozi v jednom ze svých stabilních DAI půjčovacích fondů. Pak v 17:14 ET, banteg z týmu Yearn.Finance, zveřejnil na svém kanálu Discord, že útočníkovi „uteklo 2,8 mil., Dai vault ztratil 11,1 mil.“

Podle adresy Etherea, která může být spojena s útokem, byla vydána blesková půjčka Aave, aby spustila vypouštění trezoru. Yearn.Finance je zejména jednou z předních platforem DeFi a nyní se stala známou tím, že umožňuje vkladatelům získat zpět všechny své výnosy nebo výnosy z tokenů, které vložily. Společnost Yearn provedla aktualizace svých úložišť, nicméně stejně jako mnoho jiných platforem inteligentních kontraktů předchozí smart kontrakty přetrvávaly.

Data DeFi Pulse ukazuje, že společnost Yearn má ve svých kontraktech aktiva v hodnotě něco málo přes 480 milionů dolarů. Ve verzi 1 platformy DeFi mnoho z půjčovacích fondů společnosti Yearn trvale vydělává roční výnosy více než 20%.

Uživatelé aktivní na kanálech Yearn’s Discord a Telegram původně ohlásili hackerský incident a související odtoky ve čtvrtek (4. února 2021) odpoledne. Kolem 16:38 Na serveru Yearn Discord se Jeffrey Bongos zeptal, zda lidé věděli, proč trezor v1Dai ukazoval, že během několika minut ztratili velké množství Dai. A těsně po 17:00 ET, přední část trezoru DA1 v1 na webových stránkách společnosti Yearn, vykazovala ztrátu přes 1 000%.

Token YFI pro správu společnosti Ynn se po narušení zabezpečení propadl na 4 000 $, ale token se v době psaní tohoto článku obchodoval za více než 31 000 $. Zdálo se, že pokles cen nastal poté, co se exploit stal známým široké veřejnosti (což bylo, když účet UniWhales na Twitteru ohlásil velký prodej YFI za ETH).

1 milion + $ YFI vymění na ETH před několika minutami.&# 128064;&# 128064; pic.twitter.com/RtAAN90s2n

– UniWhales DAO (@uniwhalesio) 4. února 2021

Útočící trezor byl údajně trezor DAI Yearn v1, který se v lednu 2021 aktualizoval na novou investiční strategii.

Strategií trezoru, když k útoku došlo, bylo uložit všechny prostředky do „3poolu“ na automatizovaném tvůrci trhu Křivka který drží různé stablecoiny včetně DAI, USDT a USDC a umožňuje uživatelům platformy vyměňovat si kterékoli z těchto digitálních aktiv za sebe při opravdu nízkém skluzu.

Michael Egorov, Generální ředitel společnosti Curve vysvětlil, že do Curve 3pool vložil špatný herec, aby manipuloval s cenou DAI poskytovanou fondem.

Trezor nějak závisel na ceně DAI poskytované tímto fondem. Poté byla smlouva po vykořisťování stažena a několikrát se opakovala, přičemž se používaly rychle vypůjčené prostředky, dodal Egorov. Vysvětlil, že se jedná o dobře zdokumentovaný problém, který by potenciálně mohl být viděn v jiných protokolech, jako je Uniswap, ale přední výměna tokenů ERC-20 se pro účely výnosového zemědělství nepoužívá tak často.

Egorov dodal, že své názory týkající se tohoto problému sdělil týmu na Yearn.Finance a jak lze tomuto problému předcházet spolu s dalšími podobnými exploity. Uznal však, že nečekal, že při psaní kódu udělají tento typ chyby.

Tak jako shrnuto v posmrtné zprávě:

„Exploze proti trezoru yDAI společnosti Yearn v1 vedla ke ztrátě 11 milionů DAI vkladů v trezoru. Během zhruba 11 minut dokázal Yearnův bezpečnostní tým a signatáři peněženek multi-sig zastavit exploit, zatímco probíhal, čímž ušetřili 24m DAI z celkových 35m DAI vkladů v trezoru. Vytvořením nerovnováhy směnných kurzů ve 3poolu Curve mohl vykořisťovatel způsobit, že trezor YDAI společnosti Yearn vložil a vybral prostředky ze 3poolu za nepříznivé sazby v celé řadě transakcí. “

Zpráva dále uvádí:

“Vykořisťovatel profitoval ze ztráty tím, že během útoku držel velkou část Curve 3pool a stáhl kombinaci USDT, DAI a ETH.” Odhaduje se, že to mělo za následek zisk 2,7 mil. DAI. “

Stojí za zmínku, že i když útočník ukradl Yearn v hodnotě 11 milionů dolarů, za provedení exploitu bylo pro ně zapotřebí velké částky. Byli „pouze“ schopni vydělat 2,7 milionu dolarů na zisku, zatímco poplatky za likviditní fond a poplatky za vklad během hacku dosáhly každý 3,5 milionu dolarů. Poplatky za program Aave v2 se pohybovaly kolem 1,4 milionu dolarů.